De janvier à décembre 2022 - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

De janvier à décembre 2022

En 2022, AWS Control Tower a publié les mises à jour suivantes :

Opérations de compte simultanées

16 décembre 2022

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower prend désormais en charge les actions simultanées dans Account Factory. Vous pouvez créer, mettre à jour ou inscrire jusqu'à cinq (5) comptes à la fois. Soumettez jusqu'à cinq actions à la suite et consultez l'état d'avancement de chaque demande, pendant que vos comptes finissent de s'accumuler en arrière-plan. Par exemple, vous ne devez plus attendre la fin de chaque processus pour mettre à jour un autre compte ou avant de réenregistrer une unité organisationnelle (UO) complète.

Personnalisation de Account Factory (AFC)

28 novembre 2022

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

La personnalisation des comptes en usine vous permet de personnaliser les comptes nouveaux et existants depuis la console AWS Control Tower. Ces nouvelles fonctionnalités de personnalisation vous donnent la flexibilité de définir des plans de compte, qui sontAWS CloudFormationmodèles contenus dans un produit Service Catalog spécialisé. Les plans fournissent des ressources et des configurations entièrement personnalisées. Vous pouvez également choisir d'utiliser des plans prédéfinis, créés et gérés parAWSles partenaires, qui vous aident à personnaliser les comptes pour les applications spécifiques.

Auparavant, AWS Control Tower Account Factory ne prenait pas en charge la personnalisation des comptes dans la console. Avec cette mise à jour de Account Factory, vous pouvez prédéfinir les exigences relatives aux comptes et les mettre en œuvre dans le cadre d'un flux de travail bien défini. Vous pouvez appliquer des plans pour créer de nouveaux comptes, pour inscrire d'autresAWSdes comptes dans AWS Control Tower et pour mettre à jour les comptes AWS Control Tower existants.

Lorsque vous approvisionnez, enregistrez ou mettez à jour un compte dans Account Factory, vous sélectionnez le plan à déployer. Les ressources spécifiées dans le plan sont mises à disposition sur votre compte. Lorsque la création de votre compte est terminée, toutes les configurations personnalisées peuvent être utilisées immédiatement.

Pour commencer à personnaliser les comptes, vous pouvez définir les ressources correspondant à votre cas d'utilisation prévu dans un produit Service Catalog. Vous pouvez également sélectionner des solutions gérées par des partenaires dansAWSPour plus d'informations, consultez. Pour plus d'informations, veuillez consulter Personnalisez vos comptes avec Account Factory Customization (AFC).

Des commandes complètes aident àAWSapprovisionnement et gestion des ressources

28 novembre 2022

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower prend désormais en charge la gestion complète des contrôles, y compris de nouveaux contrôles proactifs optionnels, mis en œuvre viaAWS CloudFormationcrochets. Ces contrôles sont qualifiés de proactifs car ils vérifient vos ressources, avant leur déploiement, afin de déterminer si les nouvelles ressources seront conformes aux contrôles activés dans votre environnement.

Plus de 130 nouveaux contrôles proactifs vous aident à atteindre des objectifs politiques spécifiques pour votre environnement AWS Control Tower, à satisfaire aux exigences des cadres de conformité aux normes du secteur et à régir les interactions avec AWS Control Tower dans plus de vingt autresAWSservices.

La bibliothèque de contrôles AWS Control Tower classe ces contrôles en fonction desAWSservices et ressources. Pour en savoir plus, consultez Contrôles proactifs.

Dans cette version, AWS Control Tower est également intégré àAWS Security Hub, par le biais du nouveau Security HubNorme de gestion des services : AWS Control Tower, qui soutient leAWSNorme FSBP (Foundational Security Best Practices). Vous pouvez consulter plus de 160 contrôles Security Hub ainsi que les contrôles AWS Control Tower dans la console, et vous pouvez obtenir un score de sécurité Security Hub pour votre environnement AWS Control Tower. Pour plus d'informations, veuillez consulter Protection des informations.

État de conformité consultable par tousAWS Configrègles

18 novembre 2022

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower affiche désormais l'état de conformité de tousAWS Configrègles déployées dans les unités organisationnelles enregistrées auprès d'AWS Control Tower. Vous pouvez consulter l'état de conformité d'uneAWS Configrègles qui affectent vos comptes dans AWS Control Tower, qu'ils soient inscrits ou non, sans avoir à naviguer en dehors de la console AWS Control Tower. Les clients peuvent choisir de configurer des règles de configuration, appelées contrôles de détection, dans AWS Control Tower, ou de les configurer directement via leAWS Configservice. Les règles déployées parAWS Configsont affichées, ainsi que les règles déployées par AWS Control Tower.

Précédemment,AWS Configrègles déployées par le biais duAWS Configle service n'était pas visible dans la console AWS Control Tower. Les clients devaient accéder auAWS Configservice d'identification des non-conformesAWS Configrègles. Vous pouvez désormais identifier tout non-conformeAWS Configrègle dans la console AWS Control Tower. Pour voir le statut de toutes les règles de votre configuration, accédez auDétails du comptepage dans la console AWS Control Tower. Vous verrez une liste indiquant l'état de conformité des contrôles gérés par AWS Control Tower et les règles Config déployées en dehors d'AWS Control Tower.

API pour les contrôles et une nouvelleAWS CloudFormationressource

1er septembre 2022

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower prend désormais en charge la gestion programmatique des contrôles, également connue sous le nom derambardes, par le biais d'un ensemble d'appels d'API. Un nouveauAWS CloudFormationLa ressource prend en charge les fonctionnalités de l'API pour les contrôles. Pour de plus amples informations, veuillez consulter Automatisez les tâches dans AWS Control Tower et Création de ressources AWS Control Tower avec AWS CloudFormation.

Ces API vous permettent d'activer, de désactiver et de consulter l'état de l'application des contrôles dans la bibliothèque AWS Control Tower. Les API incluent la prise en charge deAWS CloudFormation, afin que vous puissiez gérerAWSressources en tant que infrastructure-as-code (IAC). AWS Control Tower fournit des contrôles préventifs et de détection facultatifs qui expriment vos intentions politiques concernant l'ensemble d'une unité organisationnelle (UO) et chaqueAWScompte au sein de l'UO. Ces règles restent en vigueur lorsque vous créez de nouveaux comptes ou modifiez des comptes existants.

API incluses dans cette version
  • EnableControl— Cet appel d'API active un contrôle. Il lance une opération asynchrone qui créeAWSles ressources de l'unité organisationnelle spécifiée et les comptes qu'elle contient.

  • DisableControl— Cet appel d'API désactive un contrôle. Il lance une opération asynchrone qui supprimeAWSles ressources de l'unité organisationnelle spécifiée et les comptes qu'elle contient.

  • GetControlOperation— Autorise la configuration d'une valeurEnableControlouDisableControlopération.

  • ListEnabledControls— Répertorie les contrôles activés par AWS Control Tower pour l'unité organisationnelle spécifiée et les comptes qu'elle contient.

Pour consulter la liste des noms de contrôle pour les contrôles facultatifs, voirIdentifiants de ressources pour les API et les contrôles, dans leGuide d'utilisation d'AWS Control Tower.

CfCT prend en charge la suppression d'ensembles de piles

26 août 2022

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

Les personnalisations pour AWS Control Tower (CfCT) prennent désormais en charge la suppression d'ensembles de piles, en définissant un paramètre dansmanifest.yamlfichier. Pour plus d'informations, veuillez consulter Suppression d'un ensemble de piles.

Important

Lorsque vous avez initialement défini la valeur deenable_stack_set_deletionpourtrue, la prochaine fois que vous invoquerez CfCT,TOUSressources commençant par le préfixeCustomControlTower-, auxquels est associé le porte-cléKey:AWS_Solutions, Value: CustomControlTowerStackSet, et qui ne sont pas déclarés dans le fichier manifeste, sont prêts à être supprimés.

Conservation des journaux sur mesure

15 août 2022

(Mise à jour requise pour la zone d'atterrissage AWS Control Tower Pour plus d'informations, consultezMettre à jour votre zone de destination)

AWS Control Tower permet désormais de personnaliser la politique de rétention pour les compartiments Amazon S3 qui stockent votre AWS Control Tower CloudTrail journaux. Vous pouvez personnaliser votre politique de conservation des journaux Amazon S3, par tranches de jours ou d'années, jusqu'à un maximum de 15 ans.

Si vous choisissez de ne pas personnaliser la conservation des journaux, les paramètres par défaut sont de 1 an pour la journalisation standard du compte et de 10 ans pour la journalisation des accès.

Cette fonctionnalité est disponible pour les clients existants via AWS Control Tower lorsque vous mettez à jour ou réparez votre zone d'atterrissage, et pour les nouveaux clients via le processus de configuration d'AWS Control Tower.

Réparation de la dérive des rôles disponible

11 août 2022

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower prend désormais en charge la réparation de la dérive des rôles. Vous pouvez rétablir un rôle requis sans avoir à réparer complètement votre zone d'atterrissage. Si ce type de réparation de dérive est nécessaire, la page d'erreur de la console indique les étapes à suivre pour restaurer le rôle, afin que votre zone de landing zone soit à nouveau disponible.

zone d'atterrissage AWS Control Tower

29 juillet 2022

(Mise à jour requise pour la zone de landing zone d'AWS Control Tower vers la version 3.0. Pour plus d'informations, consultezMettre à jour votre zone de destination)

La version 3.0 de la zone de landing zone d'AWS Control Tower inclut les mises à jour suivantes :

  • La possibilité de choisir au niveau de l'organisationAWS CloudTrailsentiers, ou pour se désinscrire CloudTrail sentiers gérés par AWS Control Tower

  • Deux nouvelles commandes de détection pour déterminer siAWS CloudTrailenregistre l'activité dans vos comptes.

  • La possibilité d'agrégerAWS Configinformations sur les ressources mondiales de votre région d'origine uniquement.

  • Une mise à jour de la Région refuse le contrôle.

  • Une mise à jour de la politique gérée,AWSControlTowerServiceRolePolicy.

  • Nous ne créons plus le rôle IAMaws-controltower-CloudWatchLogsRoleet le CloudWatch groupe de journauxaws-controltower/CloudTrailLogsdans chaque compte inscrit. Auparavant, nous les avions créés dans chaque compte pour le suivi de son compte. Avec les parcours d'organisation, nous n'en créons qu'un dans le compte de gestion.

Les sections suivantes fournissent plus de détails pour chaque nouvelle fonctionnalité.

Au niveau de l'organisation CloudTrail sentiers dans AWS Control Tower

Avec la version 3.0 de landing zone, AWS Control Tower prend désormais en charge le niveau de l'organisationAWS CloudTrailsentiers.

Lorsque vous mettez à jour votre zone de landing zone AWS Control Tower vers la version 3.0, vous avez la possibilité de sélectionner au niveau de l'organisationAWS CloudTrailsentiers selon vos préférences en matière de journalisation, ou pour vous désinscrire CloudTrail des sentiers gérés par AWS Control Tower Lorsque vous passez à la version 3.0, AWS Control Tower supprimeles traces existantes au niveau du compte pour les comptes inscritsaprès une période d'attente de 24 heures. AWS Control Tower ne supprime pas les traces au niveau du compte pour les comptes non inscrits. À partir de la landing zone 3.0, AWS Control Tower ne prendra plus en charge les traces au niveau du compte quiAWSgère. AWS Control Tower crée plutôt un journal au niveau de l'organisation, actif ou inactif, en fonction de votre sélection.

Note

Après la mise à jour vers la version 3.0 ou ultérieure, vous n'avez pas la possibilité de continuer au niveau du compte CloudTrail sentiers gérés par AWS Control Tower

Aucune donnée de journalisation n'est perdue dans les journaux agrégés de votre compte, car les journaux restent dans le compartiment Amazon S3 existant dans lequel ils sont stockés. Seuls les sentiers sont supprimés, pas les journaux existants. Si vous sélectionnez l'option permettant d'ajouter des traces au niveau de l'organisation, AWS Control Tower ouvre un nouveau chemin vers un nouveau dossier dans votre compartiment Amazon S3 et continue d'envoyer les informations de journalisation à cet emplacement. Si vous choisissez de ne pas participer aux sentiers gérés par AWS Control Tower, vos journaux existants restent inchangés dans le compartiment.

Conventions de dénomination des chemins pour le stockage des journaux
  • Les journaux de suivi des comptes sont stockés avec un chemin de la forme suivante :/org id/AWSLogs/…

  • Les journaux de suivi de l'organisation sont stockés avec un chemin de la forme suivante :/org id/AWSLogs/org id/…

Le chemin créé par AWS Control Tower pour le niveau de votre organisation CloudTrail trails est différent du chemin par défaut pour un journal créé manuellement au niveau de l'organisation, qui aurait la forme suivante :

  • /AWSLogs/org id/…

Pour plus d'informations, consultez CloudTrail dénomination des chemins, voirTrouver votre CloudTrail fichiers journaux.

Astuce

Si vous envisagez de créer et de gérer vos propres traces au niveau de votre compte, nous vous recommandons de créer les nouvelles pistes avant de terminer la mise à jour de la version 3.0 de la zone de landing zone d'AWS Control Tower, afin de commencer à vous connecter immédiatement.

À tout moment, vous pouvez choisir de créer un nouveau niveau de compte ou d'organisation CloudTrail sentiers et gérez-les vous-même. La possibilité de choisir au niveau de l'organisation CloudTrail les sentiers gérés par AWS Control Tower sont disponibles lors de toute mise à jour de la zone d'atterrissage vers la version 3.0 ou ultérieure. Vous pouvez opterdanset optezhorsdes sentiers au niveau de l'organisation, chaque fois que vous mettez à jour votre zone de landing zone.

Si vos journaux sont gérés par un service tiers, assurez-vous de donner le nouveau nom de chemin d'accès à votre service.

Note

Pour les zones d'atterrissage de la version 3.0 ou ultérieure, au niveau du compteAWS CloudTrailles sentiers ne sont pas pris en charge par AWS Control Tower Vous pouvez créer et gérer vos propres traces au niveau de votre compte à tout moment, ou vous pouvez opter pour les pistes au niveau de l'organisation gérées par AWS Control Tower.

EnregistrerAWS Configressources dans la région d'origine uniquement

Dans la version 3.0 de landing zone, AWS Control Tower a mis à jour la configuration de base pourAWS Configafin qu'il enregistre les ressources mondiales dans la région d'origine uniquement. Après la mise à jour vers la version 3.0, l'enregistrement des ressources pour les ressources globales est activé uniquement dans votre région d'origine.

Cette configuration est considérée comme une bonne pratique Il est recommandé parAWS Security HubetAWS Config, et elle permet de réaliser des économies en réduisant le nombre d'éléments de configuration créés lors de la création, de la modification ou de la suppression de ressources globales. Auparavant, chaque fois qu'une ressource globale était créée, mise à jour ou supprimée, que ce soit par un client ou par unAWSservice, un élément de configuration a été créé pour chaque élément dans chaque région gouvernée.

Deux nouvelles commandes de détection pourAWS CloudTrailenregistrement

Dans le cadre du changement au niveau de l'organisationAWS CloudTrailsentiers, AWS Control Tower introduit deux nouvelles commandes de détection qui vérifient si CloudTrail est activé Le premier contrôle aObligatoireguidage, et il est activé sur l'unité d'organisation de sécurité lors de la configuration ou des mises à jour de la zone d'atterrissage de la version 3.0 et des versions ultérieures. Le deuxième contrôle aFortement recommandéguide, et il est éventuellement appliqué à toutes les unités d'organisation autres que l'unité d'organisation de sécurité, pour laquelle la protection de contrôle obligatoire est déjà appliquée.

Contrôle obligatoire : Détecter si les comptes partagés relevant de l'unité organisationnelle de sécurité ontAWS CloudTrail ou CloudTrail Lake activé

Contrôle fortement recommandé : Détecter si un compte possèdeAWS CloudTrail ou CloudTrail Lake activé

Pour plus d'informations sur les nouvelles commandes, consultezLa bibliothèque de contrôles AWS Control.

Une mise à jour du contrôle des refus par région

Nous avons mis à jour leNotActionliste dans la région refuser le contrôle pour inclure les actions de certains services supplémentaires, listés ci-dessous :

“chatbot:*”, "s3:GetAccountPublic", "s3:DeleteMultiRegionAccessPoint", "s3:DescribeMultiRegionAccessPointOperation", "s3:GetMultiRegionAccessPoint", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "s3:ListMultiRegionAccessPoints", "s3:GetStorageLensConfiguration", “s3:GetStorageLensDashboard", “s3:ListStorageLensConfigurations” “s3:GetAccountPublicAccessBlock“,, “s3:PutAccountPublic", “s3:PutAccountPublicAccessBlock“,

Vidéo de procédure

Cette vidéo (3:07) explique comment mettre à jour votre zone d'atterrissage AWS Control Tower existante vers la version 3. Pour un visionnage de meilleure qualité, sélectionnez l'icône dans le coin inférieur droit de la vidéo pour l'afficher en plein écran. Le sous-titrage est disponible.

La page Organisation combine les vues des unités d'organisation et des comptes

18 juillet 2022

(Aucune mise à jour requise pour la zone d'atterrissage AWS Control Tower)

Le nouveauOrganisationLa page d'AWS Control Tower présente une vue hiérarchique de toutes les unités organisationnelles (UO) et de tous les comptes. Il combine les informations duUOSetComptespages, qui existaient auparavant.

Sur la nouvelle page, vous pouvez voir les relations entre les UO parents et leurs UO et comptes imbriqués. Vous pouvez agir sur les groupements de ressources. Vous pouvez configurer l'affichage des pages. Par exemple, vous pouvez développer ou réduire la vue hiérarchique, filtrer la vue pour afficher uniquement les comptes ou les unités d'organisation, choisir de n'afficher que vos comptes inscrits et vos unités d'organisation enregistrées, ou vous pouvez afficher des groupes de ressources connexes. Il est plus facile de s'assurer que l'ensemble de votre organisation est correctement mis à jour.

Inscription et mise à jour simplifiées pour les comptes de membres individuels

31 mai 2022

(Aucune mise à jour requise pour la zone d'atterrissage AWS Control Tower)

AWS Control Tower vous offre désormais une capacité améliorée pour mettre à jour et inscrire les comptes des membres individuellement. Chaque compte indique la date à laquelle une mise à jour est disponible, ce qui vous permet de vous assurer plus facilement que vos comptes membres incluent la dernière configuration. Vous pouvez mettre à jour votre zone de landing zone, remédier à la dérive de votre compte ou inscrire un compte dans une unité d'organisation enregistrée, en quelques étapes simples.

Lorsque vous mettez à jour un compte, il n'est pas nécessaire d'inclure l'unité organisationnelle (UO) complète du compte dans chaque action de mise à jour. Par conséquent, le temps nécessaire pour mettre à jour un compte individuel est considérablement réduit.

Vous pouvez inscrire des comptes dans les unités d'organisation AWS Control Tower avec l'aide supplémentaire de la console AWS Control Tower. Les comptes existants que vous inscrivez dans AWS Control Tower doivent toujours répondre aux conditions requises, et vous devez ajouter leAWSControlTowerExecutionrôle. Ensuite, vous pouvez choisir n'importe quelle unité d'organisation enregistrée et y inscrire le compte en sélectionnant leS'inscrirebouton.

Nous avons séparé lesInscrire un comptefonctionnalité duCréezflux de travail des comptes dans Account Factory, afin de mieux distinguer ces processus similaires et d'éviter les erreurs de configuration lorsque vous saisissez les informations du compte.

AFT prend en charge la personnalisation automatique des comptes AWS Control Tower partagés

27 mai 2022

(Aucune mise à jour requise pour la zone d'atterrissage AWS Control Tower)

Account Factory for Terraform (AFT) peut désormais personnaliser et mettre à jour par programmation tous vos comptes gérés par AWS Control Tower, y compris le compte de gestion, le compte d'audit et le compte d'archivage des journaux, ainsi que vos comptes inscrits. Vous pouvez centraliser la personnalisation de votre compte et la gestion des mises à jour, tout en protégeant la sécurité des configurations de votre compte, car vous définissez le rôle qui exécute le travail.

L'existantAWSAFTExecutionrole déploie désormais des personnalisations dans tous les comptes. Vous pouvez configurer des autorisations IAM avec des limites qui limitent l'accès auAWSAFTExecutionrôle en fonction de votre activité et de vos exigences en matière de sécurité. Vous pouvez également déléguer par programmation les autorisations de personnalisation approuvées dans ce rôle, pour les utilisateurs de confiance. Pour les bonnes pratiques, nous vous recommandons de limiter les autorisations nécessaires pour déployer les personnalisations requises.

L'AFT crée désormais le nouveauAWSAFTServicerôle pour déployer les ressources AFT dans tous les comptes gérés, y compris les comptes partagés et le compte de gestion. Les ressources étaient auparavant déployées par leAWSAFTExecutionrôle.

Les comptes partagés et de gestion d'AWS Control Tower ne sont pas approvisionnés via Account Factory, ils ne disposent donc pas de produits provisionnés correspondants dansAWS Service Catalog. Par conséquent, vous n'êtes pas en mesure de mettre à jour les comptes partagés et de gestion dans Service Catalog.

Opérations simultanées pour tous les contrôles optionnels

18 mai 2022

(Aucune mise à jour requise pour la zone d'atterrissage AWS Control Tower)

AWS Control Tower prend désormais en charge les opérations simultanées pour les contrôles préventifs, ainsi que pour les contrôles de détection.

Grâce à cette nouvelle fonctionnalité, toute commande optionnelle peut désormais être appliquée ou supprimée simultanément, améliorant ainsi la facilité d'utilisation et les performances de toutes les commandes optionnelles. Vous pouvez activer plusieurs contrôles optionnels sans attendre la fin des opérations de contrôle individuelles. Les seules périodes restreintes sont celles où AWS Control Tower est en train de configurer sa zone de landing zone ou lors de l'extension de la gouvernance à une nouvelle organisation.

Fonctionnalités prises en charge pour les contrôles préventifs :
  • Appliquez et supprimez différents contrôles préventifs sur la même unité d'organisation.

  • Appliquez et supprimez simultanément différents contrôles préventifs sur différentes unités d'organisation.

  • Appliquez et supprimez le même contrôle préventif sur plusieurs unités d'organisation simultanément.

  • Vous pouvez appliquer et supprimer simultanément tous les contrôles préventifs et de détection.

Vous pouvez découvrir ces améliorations de la simultanéité des contrôles dans toutes les versions publiées d'AWS Control Tower.

Lorsque vous appliquez des contrôles préventifs à des unités d'organisation imbriquées, les contrôles préventifs affectent tous les comptes et unités d'organisation imbriqués sous l'unité d'organisation cible, même si ces comptes et unités d'organisation ne sont pas enregistrés auprès d'AWS Control Tower. Les contrôles préventifs sont mis en œuvre à l'aide de politiques de contrôle des services (SCP), qui font partie deAWS Organizations. Les contrôles Detective sont mis en œuvre à l'aide deAWS Configrègles. Les garde-fous restent en vigueur lorsque vous créez de nouveaux comptes ou que vous apportez des modifications à vos comptes existants, et AWS Control Tower fournit un rapport récapitulatif indiquant dans quelle mesure chaque compte est conforme aux politiques que vous avez activées. Pour une liste complète des commandes disponibles, consultezLa bibliothèque de contrôles AWS Control.

Comptes de sécurité et de journalisation existants

16 mai 2022

(Disponible lors de la configuration initiale.)

AWS Control Tower vous offre désormais la possibilité de spécifier unAWScompte en tant que compte de sécurité ou de journalisation AWS Control Tower, lors du processus de configuration initiale de la zone de landing zone. Cette option évite à AWS Control Tower de créer de nouveaux comptes partagés. Le compte de sécurité, appeléAuditcompte par défaut, est un compte restreint qui permet à vos équipes de sécurité et de conformité d'accéder à tous les comptes de votre zone de landing zone. Le compte de journalisation, appeléArchive du journalcompte par défaut, fonctionne comme un référentiel. Il stocke les journaux des activités de l'API et des configurations de ressources de tous les comptes de votre zone de landing zone.

En intégrant vos comptes de sécurité et de journalisation existants, il est plus facile d'étendre la gouvernance d'AWS Control Tower à vos organisations existantes ou de passer à AWS Control Tower depuis une autre zone de landing zone. L'option vous permettant d'utiliser les comptes existants s'affiche lors de la configuration initiale de la zone d'atterrissage. Il inclut des contrôles pendant le processus de configuration, qui garantissent le succès du déploiement. AWS Control Tower implémente les rôles et les contrôles nécessaires sur vos comptes existants. Il ne supprime ni ne fusionne aucune ressource ou donnée existante dans ces comptes.

Limite : si vous prévoyez d'apporter des objets existantsAWScomptes enregistrés dans AWS Control Tower en tant que comptes d'audit et d'archivage des journaux, et si ces comptes existentAWS Configressources, vous devez supprimer les ressources existantesAWS Configressources avant de pouvoir inscrire les comptes dans AWS Control Tower.

zone d'atterrissage AWS Control Tower

22 avril 2022

(Mise à jour requise pour la zone de landing zone d'AWS Control Tower vers la version 2.9. Pour plus d'informations, consultezMettre à jour votre zone de destination)

La version 2.9 d'AWS Control Tower landing zone met à jour le redirecteur de notifications Lambda pour qu'il utilise le runtime Python version 3.9. Cette mise à jour corrige la dépréciation de la version 3.6 de Python, prévue pour juillet 2022. Pour les informations les plus récentes, voirla page d'obsolescence de Python.

zone d'atterrissage AWS Control Tower

10 février 2022

(Mise à jour requise pour la zone de landing zone d'AWS Control Tower vers la version 2.8. Pour plus d'informations, consultezMettre à jour votre zone de destination)

La version 2.8 de la zone de landing zone d'AWS Control Tower ajoute des fonctionnalités conformes aux récentes mises à jour duAWSMeilleures pratiques fondamentales en matière de sécurité.

Dans cette version :
  • La journalisation des accès est configurée pour le compartiment de journaux d'accès du compte Log Archive, afin de suivre l'accès au compartiment de journaux d'accès S3 existant.

  • Support pour la politique de cycle de vie est ajouté. Le journal d'accès du compartiment de journaux d'accès S3 existant est défini sur une durée de conservation par défaut de 10 ans.

  • En outre, cette version met à jour AWS Control Tower afin d'utiliserAWSRôle lié au service (SLR) fourni parAWS Config, dans tous les comptes gérés (à l'exception du compte de gestion), afin que vous puissiez configurer et gérer les règles de configuration en conséquenceAWS Configmeilleures pratiques. Les clients qui ne procèdent pas à la mise à niveau continueront à utiliser leur rôle existant.

  • Cette version rationalise le processus de configuration d'AWS Control Tower KMS pour le chiffrement des données de configuration et améliore les messages d'état associés dans CloudTrail.

  • La version inclut une mise à jour du contrôle des refus par région, afin de permettre leroute53-application-recoveryfonctionnalité dansus-west-2.

  • Mise à jour : le 15 février 2022, nous avons supprimé la file d'attente des lettres mortes pour les fonctions AWS Lambda.

Informations supplémentaires :
  • Si vous désactivez votre zone d'atterrissage, AWS Control Tower ne supprime pas leAWS Configrôle lié au service.

  • Si vous désapprovisionnez un compte Account Factory, AWS Control Tower ne supprime pas leAWS Configrôle lié au service.

Pour mettre à jour votre zone d'atterrissage vers la version 2.8, accédez auParamètres de la zone d'atterrissagepage, sélectionnez la version 2.8, puis choisissezMettre à jour. Après avoir mis à jour votre zone de landing zone, vous devez mettre à jour tous les comptes régis par AWS Control Tower, comme indiqué dansGestion des mises à jour de configuration dans AWS Control Tower.